NIST har släppt ett antal "nya" standarder (de har ju varit i olika versioner innan åtminstone för att få in åsikter). Dessa kan givetvis alltid vara intressanta att titta på även i Sverige genom att de kan indikera enklare färdiga ramverk för att implementera en förenklad enhetlig säkerhetsmetod för en större organisation samtidigt som de inte sällan också får praktisk betydelse även i andra länder som Sverige.
Jag har dock inte riktigt tid eller motivation just nu att titta på dem särskilt som jag tror jag tittade över en del av de aktuella tidigare. Rörande följande finns dock en intressant sak att reflektera:
- Trust Model for Security 1 Automation Data 1.0 (TMSAD) 2 (DRAFT)
- Security and Privacy Controls for Federal Information Systems and Organizations
- Specification for the Extensible Configuration Checklist Description Format (XCCDF)
Frågan är hur vi ser på Trust för den första och hur det ska samspela med övriga? Trust management var ju vad jag tittade mycket på 1999 - 2003 där jag bl.a. implementerade The KeyNote Trust-Management System Version 2 i Java. Just KeyNotes idéer är värda att ta som utgångspunkt när man betraktar komplexa system som dessa därför att trust handlar där inte bara om vem vi är utan också vad vi får göra och hur vi får delegera det vidare där det kan uttryckas med ett generellt språk d.v.s. villkor av typen: Person X får göra denna konfiguration men bara när plattformen uppdateras och det vid tidpunkten vilket gör att onödig access inte är nödvändig.
Här är med andra frågan hur uttrycks trust för ex. Extensible Configuration Checklist Description Format? Jag har som sagt inte kontrollerat.
Foto:
Kommentera